パイプライン攻撃 – ログ分析はサイバーセキュリティに十分ですか?

SUNBURST really a Zero-day attack?

多くのMSSPは、サイバーセキュリティの可視性のためにSIEMやその他のログ管理/集約/分析ソリューションを使用していますが、ログ分析で十分ですか? 特に最新のパイプライン攻撃が今日の高度な多段階サイバー攻撃の複合的な性質を強化したため、攻撃対象領域全体をカバーすると主張するXDRプラットフォームのような総合的なセキュリティソリューションについてますます耳にします。 攻撃者は、攻撃によってパイプラインがシャットダウンされるとは予想していなかったことを認めましたが、その結果は壊滅的なものでした。 ログから得られるものと得られないものを簡単に見てみましょう。

本質的にログは過去への見方です。 これらは、ファイルサーバーとアプリケーションサーバー、Active Directoryなどのユーザー管理システム、電子メールサーバー、およびその他のツールのアクティビティを可視化します。 ログが適切に関連付けられて分析されると、これらのシステムで異常が発生した時期を知ることができます。

しかし、ゼロデイ攻撃についてはどうでしょうか? ランサムウェアファイルのレピュテーションがない場合、どのようにそれを検出しますか? 答えは、環境の大部分に感染した後、複数のアラートで目立つようになるまで、環境内で増殖するまではできないということです。

では、どうすればこの可視性を高めることができるでしょうか?まず、生のログを取り込むだけでなく、複数のソースからそれらのログからセキュリティメタデータを引き出す方法を検討する必要があります。 次に、そのデータを複数の脅威インテリジェンスフィードを超えて実行する必要があります。 脅威インテリジェンスによるファイルへのヒットがない場合は、そのファイルをサンドボックスと共有する自動化された方法が必要です。 サンドボックスがそれを分類したら、その評判をイベントに含める必要があります。 これが、XDRがこれらのステップを1つのダッシュボードにまとめるというアイデアが非常にホットなトピックになりつつある理由です。サイロ化されたチームやツールでは、複雑な攻撃を簡単に確認することはできません。

最終的に、この自動化により、SOCアナリストのワークフローが大幅に簡素化されます。 彼らは、状況が注目を集める前にかなりの数のアラートを生成するのを待つのではなく、相関するイベントに集中することができます。 これにより、MTTDが大幅に削減されます。 適切な情報を身に付ければ、迅速に行動してMTTRを削減することもできます。

ログは、コンプライアンスの観点からサイバーセキュリティに位置付けられています。 ただし、分析と修復をログのみに依存している場合は、ツールと検出全体の自動化と可視性を活用してセキュリティ体制を改善し、ビジネス運営に大きな影響を与える可能性のある攻撃の可能性を減らす大きな機会を逃しています。

MSSPがStellar CyberのOpen XDRをどのように活用して利益率の高い収益を上げているかを確認するか、brian @ stellarcyber.aiに直接連絡してください。